Manage credentials in Azure Automation

Az Automation hitelesítő adategysége olyan objektumot tartalmaz, amely biztonsági hitelesítő adatokat, például felhasználónevet és jelszót tartalmaz. A runbookok és a DSC-konfigurációk olyan parancsmagokat használnak, amelyek elfogadják a PSCredential objektumot a hitelesítéshez. Másik lehetőségként kinyerhetik az objektum felhasználónevét PSCredential és jelszavát, hogy a hitelesítést igénylő alkalmazás vagy szolgáltatás számára biztosítsanak.

Megjegyzés:

Biztonságba helyezheti az Azure Automationbeli összetevőket, például hitelesítő adatokat, tanúsítványokat, kapcsolatokat és titkosított változókat. Ezeket az eszközöket az Azure Automation titkosítja és tárolja az egyes Automation-fiókokhoz létrehozott egyedi kulccsal. Az Azure Automation a kulcsot a rendszer által felügyelt Key Vaultban tárolja. A biztonságos objektum tárolása előtt az Automation betölti a kulcsot a Key Vaultból, majd titkosítja az objektumot.

Megjegyzés:

További információ a személyes adatok megtekintésével vagy törlésével kapcsolatban: Azure érintettek kérelmei a GDPR-rel kapcsolatban. A GDPR-ról további információt a Microsoft Adatvédelmi központ GDPR-szakaszában és a Szolgáltatásmegbízhatósági portál GDPR szakaszában talál.

A hitelesítő adatok eléréséhez használt PowerShell-parancsmagok

Az alábbi táblázatban található parancsmagok Automation-hitelesítő adatokat hoznak létre és kezelnek a PowerShell használatával. Az Az modulok részeként szállítanak.

Parancsmag	Leírás
Get-AzAutomationCredential	Lekéri a hitelesítő adatok metaadatait tartalmazó CredentialInfo objektumot. A parancsmag nem kéri le magát az PSCredential objektumot.
New-AzAutomationCredential	Létrehoz egy új Automation-hitelesítő adatot.
Remove-AzAutomationCredential	Eltávolít egy Automation-hitelesítő adatot.
Set-AzAutomationCredential	Beállítja egy meglévő Automation-hitelesítő adat tulajdonságait.

A hitelesítő adatok eléréséhez használt egyéb parancsmagok

Az alábbi táblázatban található parancsmagok a runbookokban és a DSC-konfigurációkban található hitelesítő adatok elérésére szolgálnak.

Parancsmag	Leírás
Get-AutomationPSCredential	Lekéri a PSCredential runbookban vagy DSC-konfigurációban használni kívánt objektumot. Leggyakrabban ezt a belső parancsmagot kell használnia a Get-AzAutomationCredential parancsmag helyett, mivel az utóbbi csak a hitelesítő adatokat kéri le. Ezek az információk általában nem hasznosak egy másik parancsmagnak való továbbításhoz.
Get-Credential	Lekéri a hitelesítő adatokat egy felhasználónévre és jelszóra vonatkozó kéréssel. Ez a parancsmag az alapértelmezett Microsoft.PowerShell.Security modul része. Lásd: Alapértelmezett modulok.
New-AzureAutomationCredential	Hitelesítőadat-objektumot hoz létre. Ez a parancsmag az alapértelmezett Azure-modul része. Lásd: Alapértelmezett modulok.

A kódban lévő objektumok beolvasásához PSCredential importálnia kell a modult Orchestrator.AssetManagement.Cmdlets . További információ: Modulok kezelése az Azure Automationben.

Import-Module Orchestrator.AssetManagement.Cmdlets -ErrorAction SilentlyContinue

Megjegyzés:

Kerülje a változók használatát a Name paraméterben Get-AutomationPSCredential. Használatuk megnehezítheti a runbookok, dSC-konfigurációk és hitelesítő adatok közötti függőségek felderítését a tervezéskor.

Hitelesítő adatokat elérő Python-függvények

Az alábbi táblázatban szereplő függvény a Python 2 és 3 runbook hitelesítő adatainak elérésére szolgál. A Python 3 runbookok jelenleg előzetes verzióban érhetők el.

Function	Leírás
automationassets.get_automation_credential	Adatokat kér le egy hitelesítő adategységről.

Megjegyzés:

Importálja a automationassets Python-runbook tetején található modult az eszközfüggvények eléréséhez.

Új hitelesítőadat-objektum létrehozása

Új hitelesítőadat-objektumot az Azure Portalon vagy a Windows PowerShell használatával hozhat létre.

Új hitelesítő adategység létrehozása az Azure Portallal

1. Az Automation-fiókjában a bal oldali panelen válassza a Hitelesítő adatok lehetőséget a Megosztott erőforrások területen.

2. A Hitelesítő adatok lapon válassza a Hitelesítő adatok hozzáadása lehetőséget.

3. Az Új hitelesítő adatok panelen adjon meg egy megfelelő hitelesítő nevet az elnevezési szabványoknak megfelelően.

4. Írja be a hozzáférési azonosítót a Felhasználónév mezőbe.

5. Mindkét jelszómezőhöz adja meg a titkos hozzáférési kulcsot.

   

6. Ha a többtényezős hitelesítés jelölőnégyzet be van jelölve, törölje a jelölését.

7. Kattintson a Létrehozás gombra az új hitelesítőadat-objektum mentéséhez.

Megjegyzés:

Az Azure Automation nem támogatja a többtényezős hitelesítést használó felhasználói fiókokat.

Új hitelesítőadat-objektum létrehozása a Windows PowerShell használatával

Az alábbi példa bemutatja, hogyan hozhat létre új Automation hitelesítőadat-objektumot. A PSCredential rendszer először névvel és jelszóval hoz létre egy objektumot, majd a hitelesítő adategység létrehozásához használja. Ehelyett a Get-Credential parancsmaggal kérheti a felhasználót, hogy írjon be egy nevet és egy jelszót.

$user = "MyDomain\MyUser"
$pw = ConvertTo-SecureString "PassWord!" -AsPlainText -Force
$cred = New-Object –TypeName System.Management.Automation.PSCredential –ArgumentList $user, $pw
New-AzureAutomationCredential -AutomationAccountName "MyAutomationAccount" -Name "MyCredential" -Value $cred

Hitelesítő adategység lekérése

A runbook- vagy DSC-konfiguráció lekéri a hitelesítő adatokat a belső Get-AutomationPSCredential parancsmaggal. Ez a parancsmag egy PSCredential olyan objektumot kap, amelyet egy hitelesítő adatot igénylő parancsmaggal használhat. A hitelesítőadat-objektum tulajdonságait külön is lekérheti. Az objektum rendelkezik a felhasználónév és a biztonságos jelszó tulajdonságaival.

Megjegyzés:

A Get-AzAutomationCredential parancsmag nem kér le hitelesítéshez PSCredential használható objektumot. Csak a hitelesítő adatokról nyújt információt. Ha hitelesítő adatokat kell használnia egy runbookban, azt objektumként PSCredential kell lekérnie a használatával Get-AutomationPSCredential.

Másik lehetőségként a GetNetworkCredential metódussal lekérhet egy NetworkCredential objektumot, amely a jelszó nem biztonságos verzióját jelöli.

Példa szöveges runbookra

PowerShell

Az alábbi példa bemutatja, hogyan használható PowerShell-hitelesítő adatok egy runbookban. Lekéri a hitelesítő adatokat, és hozzárendeli a felhasználónevet és a jelszót a változókhoz.

$myCredential = Get-AutomationPSCredential -Name 'MyCredential'
$userName = $myCredential.UserName
$securePassword = $myCredential.Password
$password = $myCredential.GetNetworkCredential().Password

Hitelesítő adatokkal is hitelesíthet az Azure-ban Csatlakozás-AzAccount használatával, miután először csatlakozott egy felügyelt identitáshoz. Ez a példa egy rendszer által hozzárendelt felügyelt identitást használ.

# Ensures you do not inherit an AzContext in your runbook
Disable-AzContextAutosave -Scope Process

# Connect to Azure with system-assigned managed identity
$AzureContext = (Connect-AzAccount -Identity).context

# set and store context
$AzureContext = Set-AzContext -SubscriptionName $AzureContext.Subscription -DefaultProfile $AzureContext

# Get credential
$myCred = Get-AutomationPSCredential -Name "MyCredential"
$userName = $myCred.UserName
$securePassword = $myCred.Password
$password = $myCred.GetNetworkCredential().Password

$myPsCred = New-Object System.Management.Automation.PSCredential ($userName,$securePassword)

# Connect to Azure with credential
$AzureContext = (Connect-AzAccount -Credential $myPsCred -TenantId $AzureContext.Subscription.TenantId).context

# set and store context
$AzureContext = Set-AzContext -SubscriptionName $AzureContext.Subscription `
    -TenantId $AzureContext.Subscription.TenantId `
    -DefaultProfile $AzureContext

Python 2

Az alábbi példa egy példát mutat be a hitelesítő adatok Python 2-runbookokban való elérésére.

import automationassets
from automationassets import AutomationAssetNotFound

# get a credential
cred = automationassets.get_automation_credential("credtest")
print cred["username"]
print cred["password"]

Python 3

Az alábbi példa egy példát mutat be a hitelesítő adatok elérésére a Python 3 runbookokban (előzetes verzió).

import automationassets
from automationassets import AutomationAssetNotFound

# get a credential
cred = automationassets.get_automation_credential("credtest")
print (cred["username"])
print (cred["password"])

Példa grafikus runbookra

A belső Get-AutomationPSCredential parancsmag tevékenységének grafikus runbookhoz való hozzáadásához kattintson a jobb gombbal a hitelesítő adatokra a grafikus szerkesztő Könyvtár panelén, és válassza a Hozzáadás a vászonhoz lehetőséget.

Az alábbi képen egy példa látható a hitelesítő adatok grafikus runbookban való használatára. Ebben az esetben a hitelesítő adatok hitelesítést biztosítanak egy runbookhoz az Azure-erőforrásokhoz, az Azure AutomationBen a Microsoft Entra ID használatával történő hitelesítéshez az Azure Automationben. Az első tevékenység lekéri az Azure-előfizetéshez hozzáféréssel rendelkező hitelesítő adatokat. A fiókkapcsolati tevékenység ezt a hitelesítő adatot használja a következő tevékenységek hitelesítésére. Itt egy folyamathivatkozást használunk, mivel Get-AutomationPSCredential egyetlen objektumot vár.

Hitelesítő adatok használata DSC-konfigurációban

Bár az Azure Automation DSC-konfigurációi használhatják a hitelesítő adatokat Get-AutomationPSCredential, a hitelesítő adatokat paramétereken keresztül is átadhatják. További információ: Konfigurációk összeállítása az Azure Automation DSC-ben.

Következő lépések

• A tanúsítványok eléréséhez használt parancsmagokról további információt az Azure Automation moduljainak kezelése című témakörben talál.
• A runbookokkal kapcsolatos általános információkért lásd : Runbook-végrehajtás az Azure Automationben.
• A DSC-konfigurációk részleteiért tekintse meg az Azure Automation State Configuration áttekintését.